服务器维护

您为何不妨联系我呢？请点我与我交谈

（5）隐藏BIND的版本信息

通常软件的漏洞和风险信息是和特定版本相关的，因此版本号是黑客进行攻击所需要搜集的最有价值的信息之一。黑客使用dig命令可以查询BIND的版本号，然后黑客就能够通过版本号查询知道这个软件有那些漏洞，并寻求相应的工具来针对该漏洞进行攻击。因此，随意公开BIND版本号是不明智的，具有很大的风险。其实，隐藏BIND版本号比较简单，只需要修改配置文件/etc/named.conf，在option部分添加version声明将BIND的版本号信息进行覆盖即可。使用下面的配置声明将BIND版本号覆盖，当有人请求版本信息时，将无法得到有用的版本信息：

options {
version “Unkown”
};

（6）使用非root权限运行BIND

在Linux内核2.3.99以后的版本中，可以以-u选项以非root权限运行BIND。该命令表示以nobody用户身份运行BIND，使用nobody身份运行能够降低缓冲区溢出攻击所带来的危险。命令如下：

#/usr/local/sbin/named –u nobody

（7）删除DNS上不必要的其他服务

删除DNS机器上不必要的其他服务。网络服务是造成系统安全的重要原因，常见的DoS攻击、弱脚本攻击以及缓冲区溢出攻击都是由于系统存在网络服务所引起的。在安装DNS运行所依赖的操作系统前，就应该确定在系统中运行的服务的最小集合，创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。建议不安装以下软件包：（1）X-Windows及相关的软件包；（2）多媒体应用软件包；（3）任何不需要的编译程序和脚本解释语言；（4）任何不用的文本编辑器；（5）不需要的客户程序；（6）不需要的其他网络服务。

（8）合理配置DNS的查询方式

DNS的查询方式有两种，递归查询和迭代查询。合理配置这两种查询方式，能够在实践中取得较好的效果。

其中，递归查询是最常见的查询方式，工作方式是：域名服务器将代替提出请求的客户机（下级DNS服务器）进行域名查询，若域名服务器不能直接回答，则域名服务器会在域各树中的各分支的上下进行递归查询，最终将返回查询结果给客户机，在域名服务器查询期间，客户机将完全处于等待状态。具体流程示意请见图1： 

图1  DNS递归查询模式示意

迭代查询又称重指引查询。其工作方式为：当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若此时服务器不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的提示中包含所需要查询的主机地址为止，一般的，每次指引都会更靠近根服务器（向上），查寻到根域名服务器后，则会再次根据提示向下查找。具体流程示意如图2所示：  

图2  DNS迭代查询模式示意

综合上面两点，我们可以看出来，递归查询就是客户机会等待最后结果的查询，而迭代查询是客户机等到的不一定是最终的结果，而可能是一个查询提示。因而存在如下两个问题： 

◆二级DNS向一级DNS发起递归查询，会对一级DNS造成性能压力，所有跨域查询都要经过一级DNS响应给对应二级DNS； 

◆二级DNS向一级DNS发起递归查询，再由一级向归属DNS发起递归的模式查询响应会有一定延时；

因此，有很多流量很大的DNS服务器是禁止客户机使用递归查询，用这种方式来减轻服务器的流量。
 

如果您有此需求或者想了解更多，为何不联系我们呢？